CyberSecurity

DESCRIPTION

Garantire la sicurezza e il benessere dei nostri dipendenti sul luogo di lavoro è una priorità assoluta in Amazon. I nostri Safety Technician svolgono un ruolo fondamentale per renderlo possibile. Questo ruolo rappresenta un’opportunità per avviare la tua carriera nel settore della sicurezza sul lavoro e per crescere in un’azienda globale. Collaborerai a stretto contatto con i nostri esperti per monitorare l’ambiente di lavoro e in tal modo potrai verificare direttamente il tuo contributo al benessere delle persone.

Key job responsibilities

Eseguire valutazioni del rischio e controlli

Monitorare il sito per assicurarsi che i processi siano conformi alle procedure di sicurezza di Amazon

Creare e aggiornare i report sulle metriche di sicurezza da sottoporre ai colleghi

Collaborare con i colleghi del reparto Operations e di tutta l’azienda su compiti relativi alla sicurezza e offrire indicazioni sulle procedure

Assistere nell’applicazione di nuove misure di sicurezza

A day in the life

Il tuo lavoro si svolgerà in uno dei nostri siti logistici. Potrai dunque seguire da vicino ciò che accade e sarai a disposizione dei colleghi per rispondere alle loro domande durante il turno. Questo ruolo consiste nell’individuare potenziali problemi prima che si verifichino. Dedicherai molto tempo a controllare il sito e a osservare il modo in cui le persone utilizzano le apparecchiature. Conoscendo bene lo svolgimento di ogni attività e il funzionamento di ogni macchinario, sarai in grado di elaborare le migliori strategie per assicurare la sicurezza dei processi.

Inoltre, sarai uno dei responsabili dell’attuazione dei cambiamenti in materia di sicurezza, per cui lavorerai a stretto contatto con molte persone. Oltre a svolgere le tue mansioni quotidiane e settimanali, offrirai supporto al nostro team Operations per compiti ad hoc relativi alla sicurezza.

La sicurezza è fondamentale per Amazon e nel tuo ruolo ci aiuterai a raccogliere i dati essenziali che ci permettono di tenere sotto controllo i nostri processi e di prevenire qualsiasi problema. Condividerai inoltre questi dati con altre persone all’interno dell’azienda e interagirai con gli altri team per assicurarti che lavorino nel rispetto degli standard di sicurezza.

BASIC QUALIFICATIONS

Essere in possesso di qualifica ASPP

Laurea nel settore Sicurezza, Ingegneria o altri campi specifici, oppure diploma di scuola superiore con esperienza ASPP/RSPP in ambito produttivo/produzione/magazzino

Dimostrare le norme/gli standard di sicurezza essenziali

Livello minimo di inglese A2

PREFERRED QUALIFICATIONS

Le qualifiche preferenziali non sono requisiti obbligatori per candidarsi a una posizione in Amazon. Se possiedi tutte le qualifiche richieste di cui sopra, non esitare a inviarci la tua candidatura: saremo felici di esaminarla!

Esperienza nella comunicazione efficace con un’ampia gamma di stakeholder, per iscritto o tramite presentazioni
Esperienza di lavoro sia in modo indipendente che all’interno di un team

Amazon is an equal opportunities employer. We believe passionately that employing a diverse workforce is central to our success. We make recruiting decisions based on your experience and skills. We value your passion to discover, invent, simplify and build. Protecting your privacy and the security of your data is a longstanding top priority for Amazon. Please consult our Privacy Notice (https://www.amazon.jobs/en/privacy_page) to know more about how we collect, use and transfer the personal data of our candidates.

Our inclusive culture empowers Amazonians to deliver the best results for our customers. If you have a disability and need a workplace accommodation or adjustment during the application and hiring process, including support for the interview or onboarding process, please visit https://amazon.jobs/content/en/how-we-hire/accommodations for more information. If the country/region you’re applying in isn’t listed, please contact your Recruiting Partner.

Per inviare la tua candidatura, visita la seguente pagina ufficiale:

https://www.amazon.jobs/en/jobs/2910780/safety-technician?cmpid=SPLICX0248M&ss=paid&utm_campaign=cxro&utm_content=job_posting&utm_medium=social_media&utm_source=linkedin.com

L'articolo Amazon ricerca un Safety Technician proviene da Rivista Cybersecurity Trends.

Le crescenti tensioni geopolitiche e l’espansione della superficie digitale, caratterizzata dall’uso di dispositivi connessi, dalla mobilità, dalla pratica del Bring Your Own Device (BYOD) e dall’intensificarsi delle attività dei cybercriminali, aumentano il rischio digitale e rendono necessaria un’evoluzione nell’approccio alla sicurezza informatica e alla resilienza digitale.

Per rispondere a queste sfide e per aiutare le Pubbliche Amministrazioni Centrali nel processo continuativo di gestione del rischio cyber, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha messo a disposizione uno strumento innovativo di cyber-risk management. Questo strumento consente di identificare, analizzare e trattare i rischi informatici in modo efficace, garantendo una protezione continua dei sistemi e dei servizi pubblici.

Uno strumento per una strategia più solida

La gestione del rischio cyber non è un’operazione una tantum, ma un processo continuo che richiede strumenti adeguati. Il tool messo a disposizione dall’ACN accompagna le PA in tutte le fasi della gestione del rischio, dall’identificazione dei rischi fino alla definizione dei piani di trattamento e del relativo monitoraggio.

Grazie a un aggiornamento costante, lo strumento offre una fotografia sempre aggiornata dello stato dei rischi, aiutando le amministrazioni a prendere decisioni strategiche e a migliorare la sicurezza informatica dei servizi offerti ai cittadini.

Come accedere allo strumento

L’ACN invita le Pubbliche Amministrazioni Centrali non ancora accreditate a richiedere l’abilitazione all’utilizzo dello strumento, inviando una comunicazione all’indirizzo progetti-cyber@acn.gov.it.
Lo strumento è accessibile, tramite credenziali SPID, al sito https://rischiocyber.acn.gov.it/cyber/

https://www.acn.gov.it/portale/en/w/rischio-cyber-ecco-il-cyber-tool-di-acn-per-la-pa

L'articolo Cyber Risk: ACN invita le PA Centrali a usare il nuovo strumento proviene da Rivista Cybersecurity Trends.

Safeguard, il noto servizio per la sicurezza delle transazioni nel mercato delle criptovalute, accessibile tramite la piattaforma di messaggistica Telegram, sta diventando bersaglio di truffatori informatici. Recentemente, alcuni cybercriminali hanno lanciato bot fraudolenti su Telegram con lo scopo di ingannare gli utenti, inducendoli a installare malware o a cedere l’accesso ai propri account.

Un’analisi ha evidenziato l’esistenza di un falso bot Safeguard che, una volta avviato, chiede all’utente di seguire tre passaggi di verifica. Tuttavia, dietro questa apparente misura di sicurezza si cela un attacco ben orchestrato: il bot esegue codice PowerShell, sfruttando una tecnica già utilizzata per diffondere il malware Lumma Stealer.

Il CERT-AGID ha identificato un dominio di recente registrazione, denominato safeguard-telegram, collegato a due bot attivi su Telegram. Questi bot convincono le vittime a scansionare un QR code per “abilitare l’accesso da un nuovo dispositivo”, concedendo in realtà ai criminali l’accesso al proprio account.

Il collegamento con lo smishing INPS

Gli esperti hanno scoperto che il dominio fraudolento espone pubblicamente alcune pagine contenenti informazioni di configurazione, tra cui il vero indirizzo IP del server che ospita il servizio di truffa. Secondo VirusTotal, questo IP è collegato ai domini inps[.]ec e inps[.]io, già identificati come parte di una campagna di smishing che mira al furto di credenziali e documenti d’identità.

Ulteriore conferma arriva visitando direttamente l’indirizzo IP, dove compare una pagina contraffatta con il logo INPS e link che rimandano tutti a un altro dominio sospetto, inps[.]st, anch’esso registrato di recente.

Conclusioni

L’attacco legato a Safeguard e la truffa INPS evidenziano una strategia ben congegnata da parte dei cybercriminali, che sfruttano contemporaneamente due tipologie di frodi per colpire le vittime. Da un lato, i bot fraudolenti su Telegram mirano a ottenere l’accesso agli account Telegram, dall’altro mirano al furto di documenti d’identità tramite campagne di smishing.

Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AGID.

https://cert-agid.gov.it/news/truffa-safeguard-furto-di-account-telegram-e-connessione-con-lo-smishing-inps/

L'articolo Truffa Safeguard: furto di account Telegram e smishing INPS proviene da Rivista Cybersecurity Trends.

Un recente studio condotto da Vanson Bourne per Sophos ha analizzato l’impatto delle soluzioni di sicurezza informatica sulle richieste di risarcimento assicurativo derivanti da attacchi informatici. I risultati dimostrano in modo chiaro che le organizzazioni che adottano servizi di Managed Detection and Response (MDR) subiscono danni finanziari significativamente inferiori rispetto a quelle che si affidano esclusivamente alla protezione degli endpoint.

La riduzione del valore dei sinistri: un dato chiave

Secondo lo studio, le richieste di risarcimento da parte delle aziende che utilizzano servizi MDR sono, in media, inferiori del 97,5% rispetto a quelle delle organizzazioni che si basano esclusivamente sulla protezione degli endpoint. Più precisamente:

• Le organizzazioni con MDR hanno richieste di risarcimento medie di 75.000 dollari, rispetto ai 3 milioni di dollari delle aziende che usano solo protezione endpoint.
• Le organizzazioni con soluzioni EDR/XDR registrano richieste di risarcimento mediamente pari a 500.000 dollari, ovvero un sesto rispetto agli utenti di sola protezione endpoint.
• Gli utenti MDR mostrano una maggiore prevedibilità nelle richieste di risarcimento, mentre gli utenti EDR/XDR hanno una variabilità molto più alta.

Il ruolo della prevedibilità e della resilienza

Un aspetto fondamentale emerso dalla ricerca riguarda la prevedibilità dei sinistri. Le richieste di risarcimento degli utenti MDR risultano essere le più stabili e prevedibili, grazie alla capacità di questi servizi di rilevare e neutralizzare rapidamente le minacce. Al contrario, le richieste di risarcimento degli utenti EDR/XDR sono le meno prevedibili, a causa della dipendenza dalla capacità dell’azienda di rispondere autonomamente alle minacce informatiche.

Tempi di recupero: MDR accelera la ripresa

L’analisi ha inoltre evidenziato differenze significative nei tempi di recupero dalle conseguenze di un cyberattacco:

• 47% delle organizzazioni con MDR si riprende completamente entro una settimana.
• Solo 18% degli utenti di endpoint e 27% degli utenti EDR/XDR riescono a recuperare nello stesso arco di tempo.
• Il tempo di recupero previsto per gli utenti MDR è di 3 giorni, mentre per gli utenti endpoint è di 40 giorni e per gli utenti EDR/XDR arriva fino a 55 giorni.

Implicazioni per le organizzazioni e gli assicuratori

Lo studio fornisce dati concreti per aiutare le aziende a valutare il ROI delle soluzioni di sicurezza informatica. Le organizzazioni possono ottimizzare gli investimenti in cybersecurity scegliendo strumenti che riducono l’impatto finanziario degli attacchi, mentre gli assicuratori possono affinare le loro strategie di pricing e gestione del rischio.

Conclusione

I dati confermano che la protezione informatica adottata influisce significativamente sui sinistri nel settore. Investire in soluzioni MDR riduce i danni economici degli attacchi, aumentando la resilienza per le aziende e riducendo i sinistri per le assicurazioni. Questi dati sono utili per ottimizzare la sicurezza e il ritorno sugli investimenti, oltre a supportare gli assicuratori nella gestione del rischio e nell’offerta di polizze adeguate.

https://news.sophos.com/it-it/2025/03/04/come-quantificare-il-roi-limpatto-dei-prodotti-e-dei-servizi-di-cybersecurity-sulle-richieste-di-risarcimento-assicurativo-in-ambito-informatico/

L'articolo ROI: l’impatto delle soluzioni di cybersecurity sulle richieste di risarcimento assicurativo proviene da Rivista Cybersecurity Trends.

Oggi, 5 marzo, ha preso il via a Roma CyberSec2025, l’evento di riferimento per la sicurezza cibernetica e la resilienza digitale, che proseguirà fino al 6 marzo. Promossa e organizzata dal giornale Cybersecurity Italia, la conferenza riunisce esperti del settore, aziende e istituzioni per discutere delle minacce cyber più attuali e delle strategie avanzate di protezione dei dati.

Quest’anno, l’attenzione è rivolta all’intelligenza artificiale, alla crittografia post-quantum, allo spionaggio cibernetico e alle implicazioni geopolitiche della sicurezza digitale. Il titolo dell’edizione 2025, “AI, Crittografia Post-Quantum, Spionaggio e Geopolitica: il nuovo mondo della Cybersecurity”, riflette le sfide globali che influenzano la cybersicurezza.

CyberSec2025 si terrà nei prestigiosi Saloni di Rappresentanza della Caserma dei Carabinieri “Salvo D’Acquisto” davanti a un pubblico selezionato e sarà trasmesso in diretta streaming. Tra i relatori figurano Vittorio Rizzi, Direttore Generale del DIS, Bruno Frattasi, Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale, Mario Beccia, Vice Direttore delle Informazioni per la Cybersecurity della NATO, il Generale Salvatore Luongo, Comandante Generale dell’Arma dei Carabinieri, e Diego Brasioli, inviato speciale per la Cybersicurezza della Farnesina, insieme ad altri esperti di rilievo.

L’evento mira a favorire il dialogo tra esperti e decisori, con l’obiettivo di sviluppare strategie efficaci per la protezione delle infrastrutture digitali e la gestione del rischio cibernetico, contribuendo a una maggiore sicurezza nel panorama digitale.

Per maggiori dettagli e per seguire l’evento in diretta, visita il sito ufficiale: CyberSec2025.

https://www.cybersecitalia.events/cybersec2025/

L'articolo CyberSec2025 proviene da Rivista Cybersecurity Trends.

La terza edizione dell’OpenText Global Ransomware Survey fornisce un’analisi approfondita delle attuali minacce ransomware, evidenziando l’impatto degli attacchi alla supply chain, l’aumento dei pagamenti di riscatto e l’influenza crescente dell’intelligenza artificiale generativa. Secondo l’analisi, il 62% degli intervistati ha subito un attacco ransomware proveniente da un partner della supply chain software nell’ultimo anno, a dimostrazione della crescente minaccia di queste vulnerabilità.

Gli attacchi alle supply chain continuano ad essere una delle principali preoccupazioni, con i criminali informatici che si avvalgono di risorse sempre più sofisticate, come l’intelligenza artificiale generativa, per perfezionare le loro tecniche di phishing. I dati del Data Breach Investigations Report 2024 di Verizon mostrano che il costo medio delle violazioni estorsive, che includono ransomware, è di circa 46.000 dollari, con punte che vanno da 3.000 a oltre 1 milione di dollari.

 I principali risultati dell’indagine includono:

• Gli intervistati sono in gran parte preoccupati per gli attacchi alla supply chain. Coloro che hanno segnalato un attacco ransomware quest’anno ritiene sono che provenisse dalla loro supply chain.
• Il 40% degli intervistati dichiara di aver subito o di non sapere di essere stato colpito da un attacco ransomware proveniente da un partner della supply chain.
• Tra gli intervistati che hanno subito un attacco ransomware nell’ultimo anno, il 62% è stato colpito da un attacco ransomware proveniente da un partner della supply chain e il 90% prevede di aumentare la collaborazione con i fornitori di software per migliorare le pratiche di sicurezza nel prossimo anno.
• La maggioranza degli intervistati (91%) è preoccupata per gli attacchi ransomware alla supply chain a valle di un’azienda, a terze parti e ai partner collegati.
• Alla domanda se le recenti violazioni da parte di fornitori chiave del settore come Change Healthcare, Ascension e CDK Global, che hanno causato interruzioni e perdite specifiche del settore, li abbiano resi più preoccupati di essere colpiti da un attacco alla supply chain, quasi la metà (49%) si è dichiarata più preoccupata, abbastanza da prendere in considerazione l’idea di apportare modifiche al fornitore.
• Quasi tre quarti degli intervistati (74%), compresi coloro che hanno subito un attacco ransomware nell’ultimo anno, hanno un processo formale per valutare le pratiche di sicurezza informatica dei propri fornitori di software. Un sorprendente 26% non lo possiede o non lo sa.
• Quasi tre quarti delle aziende hanno subito un attacco ransomware quest’anno; le PMI sono state colpite più delle grandi aziende.
• Del 48% degli intervistati che hanno subito un attacco ransomware, il 73% ha subito un attacco ransomware nell’ultimo anno, solo un quarto non ne ha subito uno (25%) e il 2% ne è a conoscenza.
• Più PMI rispetto alle grandi aziende hanno subito un attacco ransomware. Oltre tre quarti (76%) delle PMI hanno segnalato di aver subito un attacco ransomware nell’ultimo anno, mentre il 70% delle grandi aziende ha segnalato di aver subito un attacco ransomware nell’ultimo anno.
• Di coloro che hanno subito un attacco ransomware nell’ultimo anno, poco meno della metà (46%) ha pagato il riscatto. Il 31% dei loro pagamenti di riscatto è stato compreso tra 1 milione e 5 milioni di dollari. Allo stesso tempo, quasi tutti (97%) hanno ripristinato con successo i dati della propria organizzazione. Solo il 3% non ci è riuscito.
• Gli intervistati hanno subito un numero maggiore di attacchi di phishing a causa del crescente utilizzo dell’intelligenza artificiale, soprattutto tra coloro che hanno subito un attacco ransomware.
• Oltre la metà (55%) degli intervistati ha affermato che la propria azienda è maggiormente esposta al rischio di subire un attacco ransomware a causa del crescente utilizzo dell’intelligenza artificiale tra gli autori delle minacce.
• Quasi la metà (45%) degli intervistati ha osservato un aumento degli attacchi di phishing dovuto al maggiore utilizzo dell’IA. Tra coloro che hanno subito un attacco ransomware, il 69% ha osservato un aumento degli attacchi di phishing dovuto al maggiore utilizzo dell’IA.
• Le organizzazioni, comprese le PMI, continuano a investire di più nella sicurezza del cloud e nella formazione sulla sicurezza e sul phishing.
• La sicurezza nel cloud è l’area della sicurezza informatica in cui, secondo gli intervistati, le loro aziende investono di più (66%).
• Nel 2024, il 62% degli intervistati SMB sta investendo di più nella sicurezza del cloud. Al contrario, nel 2023, il 56% stava investendo di più nella sicurezza del cloud. Nel 2022, solo il 39% degli intervistati SMB stava utilizzando soluzioni di sicurezza del cloud.
• La maggioranza (91%) degli intervistati ha affermato che le proprie aziende richiedono ai dipendenti di partecipare a corsi di formazione sulla sicurezza o sul phishing. Solo il 9% non lo fa. Nel 2024, il 66% ha condotto almeno una formazione trimestrale.
• Rispetto al 2023 e al 2022, le organizzazioni richiedono ai dipendenti di partecipare più frequentemente alla formazione awareness. Nel 2023, solo il 39% ha condotto la formazione una volta al trimestre. Nel 2022, solo il 24% delle PMI ha condotto la formazione una volta al trimestre.

“Le PMI e le aziende stanno intensificando i loro sforzi contro il ransomware, dalla valutazione dei fornitori di software all’implementazione di soluzioni cloud e all’aumento della formazione dei dipendenti. Tuttavia, l’aumento delle organizzazioni che pagano il riscatto non fa che incoraggiare i criminali informatici, alimentando attacchi più implacabili”, ha affermato Muhi Majzoub, vicepresidente esecutivo e responsabile dei prodotti di OpenText. “Le aziende devono difendersi in modo proattivo da minacce sofisticate come le vulnerabilità della supply chain e gli attacchi basati sull’intelligenza artificiale, garantendo al contempo la resilienza tramite backup dei dati e piani di risposta, per evitare di dare potere agli stessi criminali che cercano di sfruttarli”.

Per saperne di più sui risultati, guarda l’infografica o visita il blog di OpenText.

https://investors.opentext.com/press-releases/press-releases-details/2024/OpenText-Cybersecuritys-2024-Ransomware-Survey-Supply-Chain-Attacks-Surge-Ransom-Payments-Persist/default.aspx – :~:text=Over three-quarters (76%25),46%25) paid the ransom.

L'articolo OpenText Cybersecurity 2024 Global Ransomware Survey proviene da Rivista Cybersecurity Trends.

L’ENISA (Agenzia dell’Unione Europea per la Cybersecurity) ha rilasciato una bozza delle sue linee guida tecniche che sta sviluppando per aiutare gli Stati membri e le entità dell’UE nell’applicazione dei requisiti di sicurezza informatica della direttiva NIS2, come stabilito dal regolamento (UE) 2024/2690 della Commissione Europea.

Questa guida tecnica fornisce:

• Consigli dettagliati su come implementare un requisito e ulteriori spiegazioni sui concetti e sui termini utilizzati nel testo giuridico;
• Esempi pratici per valutare se un requisito è stato soddisfatto;
• Tabelle comparative tra i requisiti di sicurezza previsti dal regolamento di esecuzione con gli standard europei e internazionali, nonché con i quadri normativi nazionali.

ENISA invita tutte le parti interessate a fornire commenti sulle linee guida tecniche per la legge attuativa NIS2 sulle misure di sicurezza informatica per le entità critiche nel settore delle infrastrutture digitali entro il 9 dicembre 2024, ore 18:00 CET, tramite il link alla bozza delle linee guida e seguendo le istruzioni fornite.

Contesto

La direttiva NIS2 è la nuova legislazione UE per rafforzare la sicurezza informatica e la resilienza nei settori critici europei. Gli Stati membri erano tenuti a recepirla entro il 17 ottobre 2024. ENISA ha anche pubblicato materiale informativo, come video e infografiche, per spiegare i concetti principali della direttiva.

La guida tecnica è stata sviluppata in collaborazione con la Commissione Europea e i rappresentanti degli Stati membri all’interno del NIS Cooperation group (NIS CG).

https://www.enisa.europa.eu/news/asking-for-your-feedback-enisa-technical-guidance-for-the-cybersecurity-measures-of-the-nis2-implementing-act

L'articolo Richiesta feedback: linee guida tecniche ENISA per attuazione NIS2 proviene da Rivista Cybersecurity Trends.

Amazon ha confermato una violazione dei dati che ha esposto informazioni di contatto dei suoi dipendenti a causa dell’attacco informatico MOVEit del maggio2023. L’azienda ha dichiarato che i dati sono stati rubati a un fornitore esterno di gestione immobiliare.

In una dichiarazione a TechCrunch, il portavoce di Amazon, Adam Montgomery, ha spiegato che i sistemi di Amazon e AWS non sono stati compromessi, ma sono stati informati di un “evento di sicurezza” che ha coinvolto uno dei loro fornitori. Le informazioni esposte includono indirizzi e-mail di lavoro, numeri di telefono fissi e ubicazioni degli uffici dei dipendenti.

“I sistemi di Amazon e AWS rimangono sicuri e non abbiamo riscontrato alcun evento di sicurezza. Siamo stati informati di un evento di sicurezza presso uno dei nostri fornitori di gestione immobiliare che ha avuto un impatto su diversi dei suoi clienti, tra cui Amazon. Le uniche informazioni di Amazon coinvolte erano le informazioni di contatto di lavoro dei dipendenti, ad esempio indirizzi e-mail di lavoro, numeri di telefono fissi e ubicazioni degli edifici”, ha affermato Montgomery.

Amazon non ha specificato quanti dipendenti siano stati colpiti dalla violazione, ma ha chiarito che il fornitore non aveva accesso a dati sensibili come numeri di previdenza sociale o informazioni finanziarie. La vulnerabilità che ha permesso la violazione è stata risolta dal fornitore.

La conferma arriva dopo che un autore di minacce, noto come “Nam3L3ss”, ha dichiarato di aver pubblicato i dati su BreachForums, un forum di hacking. Questo individuo sostiene di avere oltre 2,8 milioni di record di dati rubati, non solo da Amazon ma anche da altre 25 importanti organizzazioni.

La violazione è collegata agli attacchi del maggio 2023 al sistema di trasferimento file MOVEit di Progress Software, uno degli incidenti di cybersecurity più gravi dell’anno.

https://securityaffairs.com/170804/data-breach/amazon-employee-data-breach-may-2023-moveit-attacks.html

L'articolo Amazon conferma violazione dati dei dipendenti proviene da Rivista Cybersecurity Trends.

Gli esperti di sicurezza di Securonix hanno scoperto una campagna di attacco, chiamata CRON#TRAP, che rappresenta una nuova minaccia per la sicurezza dei sistemi informatici. Questa campagna si basa su una tecnica sofisticata che prevede l’utilizzo di un ambiente Linux emulato per consentire agli attaccanti di mantenere la persistenza all’interno dei dispositivi infetti.

L’attacco si avvia con un file di collegamento (.lnk) malevolo che, una volta eseguito, estrapola un ambiente Linux, emulato tramite QEMU, un software di virtualizzazione open-source comunemente utilizzato per scopi legittimi. Questo ambiente Linux emulato è preconfigurato con una backdoor, che stabilisce una connessione automatica a un server di comando e controllo (C2) gestito dagli attaccanti. Questa tecnica consente loro di operare in modo nascosto, rendendo particolarmente difficile il rilevamento da parte dei software antivirus tradizionali.

Il vettore di attacco iniziale non è stato ancora confermato, ma i ricercatori ritengono che possa trattarsi di un’email di phishing contenente un link per scaricare un file zip dannoso. Il tema sembra essere correlato a un sondaggio, poiché il nome del file ZIP e il file di collegamento erano denominati “OneAmerica Survey.zip” e “OneAmerica Survey.lnk”. Questo file zip, contiene il file .lnk che avvia l’ambiente emulato. Mentre l’utente vede un messaggio di errore, l’ambiente Linux emulato, chiamato “PivotBox”, continua a funzionare in background. Questo ambiente permette agli attaccanti di eseguire comandi, installare strumenti e persino stabilire un canale di esfiltrazione dei dati, ottenendo così il controllo completo del sistema infetto.

Sebbene non sia stato possibile attribuire con certezza la campagna a un gruppo specifico né identificare con precisione le vittime, in base ai dati di telemetria raccolti, la maggior parte delle attività sembra provenire da fonti situate negli Stati Uniti e in Europa. Inoltre, il linguaggio utilizzato nella campagna e la posizione dei server di comando e controllo negli Stati Uniti suggeriscono che il Nord America potrebbe essere stato uno degli obiettivi principali.

La campagna CRON#TRAP rappresenta una minaccia significativa per la sua capacità di nascondersi e aggirare i controlli di sicurezza tradizionali, combinando tecniche di phishing con l’uso innovativo di ambienti virtuali.

https://www.securonix.com/blog/crontrap-emulated-linux-environments-as-the-latest-tactic-in-malware-staging/

https://www.securityinfo.it/2024/11/13/scoperto-crontrap-un-ambiente-linux-emulato-che-installa-una-backdoor/

L'articolo CRON#TRAP: nuova minaccia con ambienti Linux emulati proviene da Rivista Cybersecurity Trends.

Il CERT-AGID ha individuato una campagna di phishing che sfrutta DocuSign, nota piattaforma largamente utilizzata per la firma elettronica e la gestione dei documenti digitali. In questa ondata di attacchi, i malintenzionati inviano email contraffatte contenenti allegati HTML appositamente progettati per rubare le credenziali degli utenti, consentendo agli aggressori di accedere ai loro account e alle informazioni sensibili.

Come avviene l’attacco

L’attacco comincia con un’email apparentemente autentica che invita gli utenti ad aprire un allegato HTML. Una volta aperto, si viene indirizzati a una pagina web contenente un modulo di login che imita fedelmente l’interfaccia di quello di DocuSign. L’obiettivo, come dedotto dal codice JavaScript incluso nel file HTML, è quello di inviare le credenziali della vittima a un bot Telegram gestito dai cybercriminali.

Perché DocuSign è un obiettivo interessante per i criminali informatici?

DocuSign è utilizzato da professionisti e aziende per firmare digitalmente contratti e documenti riservati. Con l’accesso a un account DocuSign, i criminali possono ottenere documenti riservati, contratti e informazioni personali per commettere frodi o creare contratti falsi. Inoltre, le credenziali trafugate possono essere vendute nel dark web, aumentando le possibilità di ulteriori abusi da parte di altri malintenzionati, aumentando ulteriormente il rischio per le vittime.

Il CERT-AGID ha prontamente emesso l’avviso pubblico e comunicato, attraverso il Flusso IoC, l’unico indicatore utile: l’URL del bot Telegram utilizzato per la trasmissione delle credenziali. Tuttavia, gli hash del file HTML variano di volta in volta, poiché i truffatori personalizzano ogni file con l’indirizzo email del destinatario, rendendo più difficile il rilevamento automatico.

Per proteggersi da minacce come questa, il CERT-AGID raccomanda di rimanere vigili e informati sulle minacce di phishing per tutelare i propri dati, prestare attenzione a comunicazioni sospette e adottare semplici precauzioni che possono fare la differenza nella salvaguardia delle informazioni personali e professionali.

https://cert-agid.gov.it/news/false-notifica-docusign-credenziali-trasmesse-a-bot-telegram/

L'articolo Phishing: falsa notifica DocuSign ruba credenziali proviene da Rivista Cybersecurity Trends.